Инициатива должна ускорить переход субъектов КИИ на отечественное ПО и оборудование, упростить этот процесс и внести в него определённость, объяснил «СенатИнформ» зампред. По нему к субъектам КИИ относятся те организации, которые для страны жизненно важны и потому должны работать при любой ситуации. Современные вызовы КИИ российской промышленности».
Новое постановление правительства
- Получить консультацию
- Повышенная ответственность
- Другие материалы
- Застрахуй утечку
- Заказать звонок
Дата-центры и Закон о КИИ: разбираем нюансы
В конце января Государственная дума приняла в первом чтении законопроект об отнесении к субъектам критической информационной инфраструктуры КИИ владельцев информационных систем в сфере государственной регистрации недвижимости. Подписывайтесь на «Газету. Ru» в Дзен и Telegram.
Мониторинг осуществляется регулярно путем запроса и оценки информации о сроках представления, актуальности и достоверности сведений, указанных в пункте 17 настоящих Правил. Актуальность и достоверность сведений может подтверждаться государственными органами и российскими юридическими лицами, указанными в абзаце первом настоящего пункта, путем ознакомления с объектами критической информационной инфраструктуры по месту их нахождения. При выявлении по результатам мониторинга нарушения сроков работ по категорированию, представления в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры, неактуальных либо недостоверных сведений государственные органы и российские юридические лица, указанные в абзаце первом настоящего пункта, направляют в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры, сведения о выявленных нарушениях в срок не позднее 30 дней со дня их выявления. К мониторингу, указанному в пункте 19 2 настоящих Правил, государственные органы и российские юридические лица, выполняющие функции по разработке, проведению или реализации государственной политики и или нормативно-правовому регулированию в установленной сфере деятельности, могут привлекать подведомственные им организации в части оценки актуальности и достоверности сведений, указанных в пункте 17 настоящих Правил. Организации, привлекаемые к оценке актуальности и достоверности сведений, указанных в пункте 17 настоящих Правил, должны иметь в соответствии с Законом Российской Федерации "О государственной тайне" лицензию на проведение работ с использованием сведений, составляющих государственную тайну, а также в соответствии с Федеральным законом "О лицензировании отдельных видов деятельности" лицензию на деятельность по технической защите конфиденциальной информации в части оказания услуг по контролю защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации и или услуг по мониторингу информационной безопасности средств и систем информатизации.
Состав организаций, привлекаемых к оценке актуальности и достоверности сведений, указанных в пункте 17 настоящих Правил, определяется государственными органами и российскими юридическими лицами, выполняющими функции по разработке, проведению или реализации государственной политики и или нормативно-правовому регулированию в установленной сфере деятельности, в соответствии с критериями, определяемыми указанными органами и российскими юридическими лицами по согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры. Перечни организаций, привлекаемых к оценке актуальности и достоверности сведений, указанных в пункте 17 настоящих Правил, размещаются государственными органами и российскими юридическими лицами, выполняющими функции по разработке, проведению или реализации государственной политики и или нормативно-правовому регулированию в установленной сфере деятельности, на их официальных сайтах в информационно-телекоммуникационной сети "Интернет". Порядок проведения в отношении субъектов критической информационной инфраструктуры, осуществляющих деятельность в каждой из областей сфер , приведенных в пункте 8 статьи 2 Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации", оценки актуальности и достоверности сведений, указанных в пункте 17 настоящих Правил, определяется государственными органами и российскими юридическими лицами, выполняющими функции по разработке, проведению или реализации государственной политики и или нормативно-правовому регулированию в установленной сфере деятельности. Категория значимости может быть изменена в порядке, предусмотренном для категорирования, в случаях, предусмотренных частью 12 статьи 7 Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации". Субъект критической информационной инфраструктуры не реже чем один раз в 5 лет, а также в случае изменения показателей критериев значимости объектов критической информационной инфраструктуры или их значений осуществляет пересмотр установленных категорий значимости или решений об отсутствии необходимости присвоения указанным объектам таких категорий в соответствии с настоящими Правилами. В случае изменения категории значимости сведения о результатах пересмотра категории значимости направляются в федеральный орган, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры.
Есть немало историй с печальным финалом — сетуют эксперты. Федор Музалевский Директор технического департамента RTM Group Дело в том, что даже кратный рост бюджета не позволяет покупать средства защиты больше или лучше. Рост цен на отечественные межсетевые экраны, средства управления уязвимостями и иные технические средства защиты информации — все это нивелирует рост бюджета. Более того, многие субъекты КИИ, которые планировали приобретение дополнительного ПО в прошлом году, сейчас вынуждены тратить бюджет на замену уже имеющихся неподдерживаемых импортных решений отечественными. По словам Федора Музалевского, девиз российских вендоров «второго такого шанса повышать цены не будет» обернулся катастрофическим снижением реальной безопасности. Однако с этим мнением согласны не все собеседники Cyber Media. В прошлом году, по наблюдениям Александра Моисеева, в основном закупались шлюзы безопасности — взамен ушедших с рынка игроков Fortigate, Paloalto, Cisco и т. В этом году компании в основном бюджеты расходуют на внедрение систем класса SIEM. Также на рынке есть интерес к средствам безопасной разработки ПО — статическим и динамическим анализаторам. Импортозамещение: честно и по-серому После ухода западных вендоров с рынка организации-субъекты КИИ разделились на три группы. Первая переключилась на российские аналоги, вторая — на решения оставшихся западных вендоров. Третья же группа выбрала сотрудничество с представителями дружественных стран. Артем Избаенков Директор по развитию направления кибербезопасности компании EdgeЦентр Когда западные вендоры полностью покинули рынок, компании, начали искать замены среди других иностранных решений в дружественных странах. Они обратили внимание на продукты и услуги от компаний из стран БРИКС, которые предоставляют качественные решения по информационной безопасности. К основным причинам, по которым субъекты КИИ ищут замену среди иностранных решений, эксперты относят банальную предвзятость к отечественным вендорам со стороны пользователей. Более объективные аргументы — ограниченный набор функционала у российских вендоров и неудовлетворительные результаты тестирования отечественных решений. Александр Бородин Product-менеджер ООО «Айти Новация» В силу отсутствия масштабности в большинстве случаев у отечественных производителей набор функций ИБ ограничен, и более продвинутые компании обращаются к зарубежным вендорам.
Информация об изменениях: См. Перечень объектов утверждается субъектом критической информационной инфраструктуры. Перечень объектов подлежит согласованию с государственным органом или российским юридическим лицом, выполняющим функции по разработке, проведению или реализации государственной политики и или нормативно-правовому регулированию в установленной сфере в части подведомственных им субъектов критической информационной инфраструктуры. По мере необходимости указанный перечень может быть изменен в порядке, предусмотренном для его разработки и утверждения. Максимальный срок категорирования не должен превышать одного года со дня утверждения субъектом критической информационной инфраструктуры перечня объектов внесения изменений в перечень объектов. Перечень объектов в течение 10 рабочих дней после утверждения направляется в печатном и электронном виде в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры. В перечень объектов в том числе включаются объекты критической информационной инфраструктуры филиалов, представительств субъекта критической информационной инфраструктуры. Решение комиссии по категорированию оформляется актом, который должен содержать сведения об объекте критической информационной инфраструктуры, сведения о присвоенной объекту критической информационной инфраструктуры категории значимости либо об отсутствии необходимости присвоения ему одной из таких категорий. Допускается оформление единого акта по результатам категорирования нескольких объектов критической информационной инфраструктуры, принадлежащих одному субъекту критической информационной инфраструктуры. Акт подписывается членами комиссии по категорированию и утверждается руководителем субъекта критической информационной инфраструктуры. Субъект критической информационной инфраструктуры обеспечивает хранение акта до вывода из эксплуатации объекта критической информационной инфраструктуры или до изменения категории значимости.
Импортозамещение ПО для критической информационной инфраструктуры
Внеплановые проверки будут проводиться в случае: по истечению срока выполнения субъектом КИИ предписания об устранении выявленного нарушения; возникновения компьютерного инцидента, повлекшего негативные последствия; по поручению Президента РФ или Правительства РФ, либо на основании требования Прокуратуры РФ. Если ФСТЭК выявит нарушение, будет выписано предписание с конкретным сроком устранения, который можно будет продлить по уважительным причинам, а вот в случаи с Прокуратурой РФ будет все сложнее, так как она придёт к вам уже с постановлением об административном правонарушении, ссылаясь на статью 19. И еще немного о мерах наказания, которые были введены за не соблюдение требований по обеспечению безопасности критической информационной структуры. Согласно Федеральному закону от 26. Пожалуй, весомый аргумент! В дальнейших статьях мы более подробно расскажем о каждом из этапов выполнения требований ФСТЭК в области обеспечения безопасности критической информационной инфраструктуры. Подписывайтесь на уведомления нашего сайте, присоединяйтесь к нам на Facebook и добавляйте в закладки блог. Мы пишем о том, что делаем!
Соответствующее изменение внесены в федеральный закон 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», сообщается на сайте Президента России. Денис Чупров Денис Чупров К субъектам критической информационной инфраструктуры теперь также отнесена сфера государственной регистрации прав на недвижимое имущество и сделок с ним. Президент России Владимир Путин подписал Федеральный закон «О внесении изменения в статью 2 Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации».
Однако власти предусмотрели ряд исключений для ПАК. Например, разрешено не пользоваться программой, приобретенной до этой даты, или если у этого ПАК нет аналогов из списка доверенных. Правила перехода субъектов КИИ к эксплуатации ПАК Чтобы перейти на преимущественное использование программно-аппаратных комплексов, необходимо следовать специальному плану перехода. При этом госорганы требуют индивидуального подхода к составлению в зависимости от сферы деятельности компании.
Такие документы называются отраслевыми. Итак, после утверждения отраслевого плана уполномоченные органы в течение 20 рабочих суток направляют готовый вариант организации, работающей с субъектом КИИ.
Для этого необходимо проанализировать виды деятельности организации в соответствии с ОКВЭД: есть ли среди них слова "здравоохранение", "наука", "транспорт", "связь", "энергетика", "банк", "финансы", "топливо", "атом", "оборона", "ракетно-космическая", "горнодобывающая", "металлургия", "химическая". Второй этап - провести категорирование значимых объектов КИИ. Организация создает соответствующую комиссию, определяет объекты категорирования, которым затем присваиваются категории значимости: самая высокая категория - первая, самая низкая - третья. Третий этап - разработать мероприятия по взаимодействию с ФСБ России. Это относится к субъектам КИИ как с значимыми, так и с незначимыми объектами КИИ, так как организация должна обеспечить соответствие 9 статьи ФЗ-187 часть 2 , в частности, незамедлительно информировать о компьютерных инцидентах федеральные органы исполнительной власти. На этом этапе разрабатывается и утверждается регламент информирования НКЦКИ об инцидентах, также организация подключается к технической инфраструктуре НКЦКИ при выборе этого способа информирования. Алексей Киселев.
Фото: Пресс-служба "Лаборатории Касперского". Тем организациям, у которых есть значимые объекты КИИ, также надо соблюдать требования ФСТЭК по обеспечению их безопасности, выполнять предписания должностных лиц ФСТЭК об устранении нарушений в части соблюдения требований к обеспечению безопасности значимых объектов КИИ, что означает создать систему защиты и установить защитные решения. Решения "Лаборатории Касперского" защищают критические IT-инфраструктуры крупнейших российских банков, промышленных предприятий, федеральных органов власти и госкорпораций. В основе этих продуктов лежат передовые технологии многоуровневой защиты, многие из которых являются уникальными", - рассказал Алексей Киселев, менеджер по развитию бизнеса "Лаборатории Касперского". Какие есть решения Решения "Лаборатории Касперского" для КИИ помогают закрыть требования закона и обеспечить реальную безопасность организации.
Правила перехода субъектов КИИ к эксплуатации ПАК
- Треть российских компаний увеличивает бюджет на безопасность - SearchInform
- Постановление Правительства PФ от 14 ноября 2023 г. № 1912 | Новости RTM Group
- Категорирование объектов КИИ, ФСТЭК, примеры, акты
- Что такое критическая информационная инфраструктура? | Аргументы и Факты
Обзор Постановления Правительства Российской Федерации от 14.11.2023 № 1912
Понять, что такое объекты критической инфраструктуры, предельно просто — это элементы ИТ-инфраструктуры компаний, попадающих под определение субъектов КИИ. Мы рассмотрели, кто такой субъект критической информационной инфраструктуры, что такое объект КИИ и какие необходимо выполнить действия для выполнения требований ФСТЭК. Вывод строя или уничтожение субъектов КИИ подорвет безопасность, экономическую ситуацию, общественное здравоохранение. Основные сферы, в которых могут быть объекты КИИ.
Субъектов телевещания могут признать объектами критической информационной инфраструктуры
| Субъекты КИИ перейдут на российский софт к 2030 году - RSpectr | Права и обязанности субъектов КИИ, реестр значимых объектов (ЗО) КИИ, надзорная деятельность регулятора. |
| Защита субъектов и объектов КИИ | Сейчас субъекты КИИ регулярно и специально снижают степень значимости имеющихся в их распоряжении объектов КИИ, и эту проблему отмечают в Правительстве РФ уже давно. |
| Как выполнить требования закона о защите критической инфраструктуры | В 2022 году многие организации пересмотрели свои ИБ-бюджеты, в том числе субъекты критической информационной инфраструктуры (КИИ). |
Что такое критическая информационная инфраструктура?
К субъектам КИИ относятся органы власти, ИП и российские организации, которые владеют объектами критической информационной инфраструктуры или обеспечивают взаимодействие. 2. Создание и бесплатное распространение для субъектов КИИ автоматизированной системы федерального уровня по передаче информации об объектах КИИ (на связанных с ГТ) 3. В их числе – субъекты критической информационной инфраструктуры (КИИ). Субъект КИИ — это организация, т.е. государственный орган, государственное учреждение, юридическое лицо или индивидуальный предприниматель, у кого присутствует объект КИИ.
Перечень объектов критической информационной инфраструктуры будет расширен
С 1 сентября 2024 г. субъектам КИИ России будет запрещено приобретать и использовать ПАК, которые не является доверенными. Сейчас субъекты КИИ регулярно и специально снижают степень значимости имеющихся в их распоряжении объектов КИИ, и эту проблему отмечают в Правительстве РФ уже давно. Субъекты критической информационной инфраструктуры (КИИ) должны предоставлять во ФСТЭК сведения в том числе о программных, программно-аппаратных средствах, а также. Права и обязанности субъектов КИИ, реестр значимых объектов (ЗО) КИИ, надзорная деятельность регулятора. Максимальный срок категорирования не должен превышать 1 года со дня утверждения субъектом КИИ перечня объектов. Максимальный срок категорирования не должен превышать одного года со дня утверждения субъектом КИИ перечня объектов КИИ.
Субъект КИИ: два подхода к определению статуса
Среди требований к производителю и разработчику: собственная сеть сервисных центров на территории РФ; наличие прав на документацию, технологию, патентов и исключительных прав на ПО; поддержка продукта на протяжении всего жизненного цикла. Также отдельно Евгений Абакумов остановился на требованиях к аппаратному и программному обеспечению ПАК. Председатель Ассоциации КП ПОО Рената Абдулина представила результаты анализа основных нормативных правовых актов, организационных и методических документов по обеспечению безопасности КИИ: в итоговую карту вошло более 20 документов, которые сегодня регулируют вопросы в этой сфере. Так как сегодня в достаточно сжатые сроки требуется перевести на отечественные решения все объекты КИИ, нам необходимы выверенные термины и правила, которые будут трактоваться однозначно. Чтобы производители отвечали на запрос потребителей, а заказчики в свою очередь могли выстроить приоритизацию перехода на отечественные решения. По мнению участников Ассоциации, в целях гармонизации действующего законодательства целесообразно утвердить ключевой нормативный правовой акт, в котором будут закреплены основополагающие принципы, понятийный аппарат, критерии определения технологической независимости и доверенности в сфере КИИ и другое», — рассказала Рената Абдулина.
Кроме того, согласно проекту, правительство будет определять порядок и сроки перехода значимых объектов КИИ на преимущественное использование российского ПО и оборудования. Правительство также установит порядок проведения мониторинга перехода на российские продукты. В банковской и финансовой сферах это будет согласовываться с ЦБ РФ. Предполагаемая дата вступления закона в силу - 1 марта 2025 года.
И точно так же, как в динамическом анализе, для фаззинга собирается покрытие и анализируются результаты, а выявленные ошибки включаются в план устранения недостатков. Отслеживание исправления ошибок, уязвимостей в ходе жизненного цикла. На данном этапе проводится автоматизация процедур реагирования на выявленные уязвимости, которые возникли в ходе разработки либо по сообщениям от пользователей. Как правило, в информационных системах разработки заводятся тикеты. По данным тикетам разработчикам ставится в план задача по устранению критических уязвимостей и уязвимостей, имеющих высокий приоритет. Устранив уязвимость, разработчик в комментариях может сделать пометку с идентификатором тикета. Тем самым будет обеспечена прослеживаемость закрытия выявленных уязвимостей. Информирование о выявленных уязвимостях и компенсирующих мероприятиях конечных пользователей. В качестве примера можно привести сообщения на сайтах крупных разработчиков средств защиты информации. Там публикуются сообщения, в которых дается ссылка на источник скачивания обновлений, указываются идентификаторы уязвимостей, а также даются ссылки на инструкции по устранению уязвимостей и проведению дополнительных мероприятий. Оповещение конечного пользователя об окончании жизненного цикла ПО. К примеру, в специальном разделе сайта разработчика могут быть организованы специальные «фильтры» по продуктам, которые ведут на страницы с планами по поддержке ПО в ходе жизненного цикла. На рис. Рекомендуем закладывать процессы таким образом, чтобы в дальнейшем расширять их до охвата всех необходимых этапов жизненного цикла. Далее мы рассмотрим проект по внедрению процесса БРПО в соответствии с требованиями регулятора. Когда прикладное ПО разрабатывается силами собственных разработчиков, необходимо внедрить наиболее полный состав процессов безопасности.
Может, вообще ничего не потребуется и облако просто унесет на город, само предприятие никак не пострадает: все противогазы надели, полчаса посидели и сняли. Единственное, что есть — это поврежденный резервуар; вероятность того, что это случится из-за каких-то киберпроблем, крайне низка. Поэтому защитные мероприятия — не очень то и серьезные. Но облако пошло в сторону города, его накрыло, и будем надеяться, что никто не умер. И этот риск — это не полчаса посидеть в противогазе. До принятия закона его никто не оценивал. Сейчас «нормативка» по ФЗ-187 расширяет и формализует имеющуюся оценку рисков. Если кто-то делал оценку рисков умозрительно, ему это непривычно. Если как-то пытался формализовать — с калькулятором, Excel или еще чем-то, — то ему всё равно непривычно, потому что он оценивал внутренние риски для своей организации. А об экологии, жизни и здоровье граждан никто не заботился. Но и ждать от организаций, что они сами будут расширять оценку рисков, было бы странно. Особенность защиты технологических сетей состоит в том, что инцидентов не очень много — публичными являются всего несколько в год по всему миру. И внутренняя оценка рисков из-за этого страдает — нет правильной оценки риска возникновения инцидента, он воспринимается как маловероятный. И это накладывает свой отпечаток. Когда со сцены «SOC-Форума» звучало, что, мол, как же вы, ребята, не выполняете требования закона, не защищаете себя самих — это некорректно. Самих себя субъекты КИИ как владельцы информации, информационных систем или киберфизических систем как-то защищают, причем, скорее всего, вполне адекватно. Внутренняя модель рисков работает. Поэтому закон именно расширяет охват, заставляет защищать от последствий не столько себя самого, сколько остальных. Понятно, что если реализовать требования закона и подзаконных актов, более защищенным станет именно объект КИИ — он будет менее подвержен тому спектру угроз, который там прописан. И в том числе повысится внутренняя безопасность предприятия, и в примере выше не надо будет надевать противогазы — резервуар не лопнет от хакерской атаки. Для того чтобы всё это заработало, мало просто порассуждать об этом. Надо действительно что-то менять. Сейчас в плане обеспечения выполнения требований закона о КИИ у нас есть статья Уголовного кодекса 274. В принципе, она достаточно серьезна — там есть несколько пунктов, часть из них говорит как раз об атаках с внешней стороны: если кто-то зловредный нарушит работу объекта КИИ и это нанесет ущерб, то статья работает, кого-то сажают. Даже есть судебные прецеденты — несколько месяцев назад на Дальнем Востоке было судебное решение по отношению к группе лиц, которые что-то «нахимичили» с объектом КИИ, им дали условные сроки от 2 до 3 лет. Это — одна из первых правоприменительных практик на этот счет. И есть пункты, которые касаются ответственности за безопасность объекта КИИ в самой организации: если ты не соблюдаешь установленные правила эксплуатации и в результате что-то произошло, то уголовная ответственность тоже должна наступить. Насколько это эффективно, пока не очень понятно. Если в случае с персональными данными ответственность очевидно может стать финансовой, и ущерб можно компенсировать, то в случае с инцидентами на объекте КИИ сделать это сложнее. Вот есть предприятие, остановилась подача электричества, полгорода сидело во тьме несколько часов. Как это предприятие должно компенсировать ущерб? Можно предполагать, что какая-то ответственность прописана. Например, если электрические провода обрываются в случае внезапных погодных проблем, то ни о каких компенсациях речи нет — ремонтная бригада просто выезжает и натягивает эти провода. По-моему, простым гражданам никаких компенсаций в таком случае не положено — люди просто сидят без света и ждут, когда всё починят. Следует ли отдавать это на откуп хозяйствующим субъектам, или государству тоже нужно брать бразды в свои руки? Если страдают другие юридические организации, тоже достаточно крупные, у нас культура в области кибербезопасности меняется и, возможно, в договорах между генераторами и потребителями электроэнергии могут появиться пункты про компенсации. Но у нас же есть физлица, у которых отключение электричества — это самый простой вариант. А если химическое облако полетело — это вред здоровью. Есть и другие последствия. Если это — крупное предприятие, и оно обеспечивает определенный процент поступлений средств в местный бюджет, то у него возникнут проблемы с производством, упадет прибыль, оно меньше заплатит налогов. Это — один из рисков, которые рассматриваются в рамках 187-ФЗ. Ты уже пострадал, а тут приходит налоговая инспекция и говорит: «Прибыль у вас упала, вы недоплатили налогов, потому что плохо защищали. К такому механизму возникает много вопросов. А есть еще моменты, связанные с нарушением обороноспособности. Приходит Минобороны и говорит: «Родина в опасности, потому что вы плохо защищали объект КИИ и сорвали гособоронзаказ. Как вы будете это компенсировать? С другой — инциденты возникают нечасто, что позволит воспринимать их как некий форс-мажор. Возможно, стоит прописывать это в договорах наряду с другими вариантами прерывания получения услуги. И если всё-таки ядовитое облако накрывает город, то это — серьезная ситуация: здесь возможен коллективный иск в сторону предприятия, что оно должно компенсировать потерю здоровья, лечение достаточно большой группе людей. И, наверное, этот механизм может быть работающим.
Что такое критическая информационная инфраструктура?
Таким образом, закон предусматривает два вида субъектов КИИ — владельцы объектов КИИ и координаторы взаимодействия этих объектов. Сильнее всего бюджет на безопасность вырос среди компаний, которые относятся к критической инфраструктуре – 39% опрошенных представителей субъектов КИИ сообщили об этом. Кроме того, согласно проекту, правительство будет определять порядок и сроки перехода значимых объектов КИИ на преимущественное использование российского ПО и оборудования. Сейчас субъекты КИИ регулярно и специально снижают степень значимости имеющихся в их распоряжении объектов КИИ, и эту проблему отмечают в Правительстве РФ уже давно.